web-dev-qa-db-ja.com

ハードウェアファイアウォールとソフトウェアファイアウォール(IPテーブル、RHEL)

私のホスティング会社はIPTablesは役に立たず、any protectionを提供しないと言っています。これは嘘ですか?

TL; DR
同じ場所に配置された2つのサーバーがあります。昨日、私のDC会社から連絡があり、ソフトウェアファイアウォールを使用しているため、私のサーバーは「複数の重大なセキュリティ脅威に対して脆弱」であり、現在のソリューションでは「いかなる形式からも保護されていません」攻撃の」。

サーバーを保護するために、専用のCiscoファイアウォール($ 1000のインストール、その後$ 200 /月each)を入手する必要があると言われています。ハードウェアファイアウォールはより安全ですが、RedHat上のIPTablesのようなものは、平均的なサーバーに対して十分な保護を提供するという印象を常に受け​​ていました。

どちらのサーバーも単なるWebサーバーであり、特に重要なものは何もありませんが、IPTablesを使用してSSHを静的IPアドレスのみにロックし、基本的なポート(HTTP(S)、FTP、およびその他のいくつかの標準サービスを除く)をすべてブロックしました)。

ファイアウォールを取得するつもりはありません。サーバーがハッキングされた場合、それは不便ですが、実行されるのは少数のWordPressおよびJoomlaサイトだけなので、間違いではないと思いますお金の価値。

36
Smudge

ハードウェアファイアウォールでもソフトウェアが実行されていますが、唯一の真の違いは、デバイスが専用に作成され、タスク専用であることです。サーバー上のソフトウェアファイアウォールは、適切に構成されていればハードウェアファイアウォールと同じくらい安全です(ハードウェアファイアウォールは通常、そのレベルに到達するのが「簡単」であり、ソフトウェアファイアウォールは失敗するのが「簡単」です)。

古いソフトウェアを実行している場合は、既知の脆弱性が存在する可能性があります。サーバーがこの攻撃ベクトルの影響を受けやすい可能性がありますが、保護されていないことを示すのは、扇動的、誤解を招く、または太字の嘘です(正確に何を言ったか、どのように意味したかによって異なります)。悪用の可能性に関係なく、ソフトウェアを更新して既知の脆弱性にパッチを適用する必要があります。

IPTablesが無効であると述べることは、せいぜい誤解を招くです。繰り返しになりますが、1つのルールがすべてからすべてへのすべてを許可するの場合は、ええ、それはまったく何もしません。

サイドノート:私のすべての個人サーバーはFreeBSDを搭載しており、IPFW(組み込みのソフトウェアファイアウォール)のみを使用しています。この設定で問題が発生したことはありません。私はセキュリティのアナウンスをフォローしていますが、このファイアウォールソフトウェアで問題が発生したことはありません。
職場では、レイヤーにセキュリティがあります。 Edgeファイアウォールは、明らかながらくた(ハードウェアファイアウォール)をすべて除外します。内部ファイアウォールは、個々のサーバーまたはネットワーク上の場所(主にソフトウェアファイアウォールとハードウェアファイアウォールの混合)のトラフィックをフィルタリングします。
あらゆる種類の複雑なネットワークでは、レイヤーのセキュリティが最も適切です。あなたのような単純なサーバーの場合、個別のハードウェアファイアウォールを使用することにはいくつかの利点がありますが、ほとんどありません。

34
Chris S

保護されたサーバー自体でファイアウォールを実行するis別のファイアウォールマシンを使用するよりも安全性が低くなります。 「ハードウェア」ファイアウォールである必要はありません。 IPTablesを備えたルーターとして設定された別のLinuxサーバーは正常に動作します。

保護されたサーバーのファイアウォールのセキュリティ上の問題は、マシンが実行中のサービスを介して攻撃される可能性があることです。攻撃者がルートレベルのアクセス権を取得できる場合、ファイアウォールを変更または無効にするか、カーネルルートキットを介してバイパスすることができます。

別のファイアウォールマシンでは、SSHアクセス以外のサービスを実行してはならず、SSHアクセスは管理IP範囲に制限する必要があります。もちろん、IPTables実装のバグまたはTCPスタックのバグを除き、攻撃に対して比較的無防備なはずです。

ファイアウォールマシンは、存在してはならないネットワークトラフィックをブロックしてログに記録できるため、システムのクラックに関する貴重な早期警告を得ることができます。

8
Zan Lynx

トラフィックが少ない場合は、小さな 5505のようなCisco ASAユニット を試してください。 500ドルから700ドルの範囲で、間違いなく専用に設計されています。コロコロはBSを与えるものですが、ファイアウォールのレートも不合理です。

4
ewwhite

性能にもよると思います。ソフトウェア/サーバーベースのファイアウォールがCPUサイクルを使用して実行すること、ハードウェアファイアウォールは専用ビルドチップ(ASIC)で実行できるため、パフォーマンスとスループットが向上します。

4
Robert

「ソフトウェア」(マシン自体)ファイアウォールと「ハードウェア」ファイアウォールの本当の違いは、最初のケースでは、トラフィックは保護するマシンにすでにあるため、潜在的に詳細です。見落とされたり構成が誤ったりした場合に脆弱になります。

ハードウェアファイアウォールは基本的にプレフィルターとして機能し、特定のトラフィックのみがサーバーに到達したりサーバーから出たりできるようにします。

ユースケースを考えると、もちろん適切なバックアップがあると想定すると、追加の費用を正当化するのは非常に困難になります。個人的に私はあなたが持っているものを続けますが、おそらく別のホスティング会社を使用しています。

3
John Gardeniers

これでゲームに遅れます。はい、サービスプロバイダーは彼らが何について話しているのかわかりません。あなたが有能なIPTABLES管理者であるならば、私はあなたが標準のハードウェアファイアウォールよりも安全であると私は言うでしょう。その理由は、私がそれらを使用した場合、Nice gee-whizインターフェースは、どのトラフィックが通過できるかという実際の構成を反映していないためです。ベンダーは、私たちの愚かな人々のためにそれを黙らせようとします。パケットが出入りするすべての可能性について知りたい。

IPTABLESは万人向けではありませんが、セキュリティに真剣に取り組んでいる場合は、できるだけネットワークに近い場所にいる必要があります。システムの保護は簡単です。ブラックボックスファイアウォールのリバースエンジニアリングは簡単ではありません。

3
dalel2000